VirSCAN VirSCAN

1, Вы можете высылать файлы для проверки размером не более 20 мб.
2, VirSCAN поддерживает Rar/Zip сжатия, но не более 20-ти файлов.
3, VirSCAN может проверять сжатые файлы со следующими паролями 'infected' или 'virus'.

Язык
Server load
Server Load

Информация о файле
Рейтинг безопасности:55
Список действий
Основная информация
MD5:8b1cfc283b7df643d4af04f9585a55e7
Тип файла:EXE
Производственная компания:VBchppIcvKk
Версия:328.551.789.382---328.551.789.382
Информация оболочки или компилятора:
Ключевое поведение
Описание поведения:探测 Virtual PC是否存在
Для получения более подробной информации:N/A
Описание поведения:尝试打开调试器或监控软件的驱动设备对象
Для получения более подробной информации:\??\SICE
\??\SIWVID
\??\NTICE
Описание поведения:获取TickCount值
Для получения более подробной информации:TickCount = 487831, SleepMilliseconds = 50.
TickCount = 488159, SleepMilliseconds = 50.
TickCount = 488206, SleepMilliseconds = 50.
TickCount = 488221, SleepMilliseconds = 50.
TickCount = 488253, SleepMilliseconds = 50.
TickCount = 488268, SleepMilliseconds = 50.
TickCount = 488331, SleepMilliseconds = 50.
TickCount = 488440, SleepMilliseconds = 50.
TickCount = 488659, SleepMilliseconds = 50.
TickCount = 488675, SleepMilliseconds = 50.
TickCount = 489393, SleepMilliseconds = 50.
TickCount = 489440, SleepMilliseconds = 50.
TickCount = 489456, SleepMilliseconds = 50.
TickCount = 489487, SleepMilliseconds = 50.
TickCount = 489503, SleepMilliseconds = 50.
Описание поведения:设置特殊文件夹属性
Для получения более подробной информации:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5
C:\Documents and Settings\Administrator\Local Settings\History
C:\Documents and Settings\Administrator\Local Settings\History\History.IE5
C:\Documents and Settings\Administrator\Cookies
Описание поведения:查找指定内核模块
Для получения более подробной информации:lstrcmpiA: ntice.sys <------> ntkrnlpa.exe (ntice.sys)
lstrcmpiA: ntice.sys <------> hal.dll (ntice.sys)
lstrcmpiA: ntice.sys <------> KDCOM.DLL (ntice.sys)
lstrcmpiA: ntice.sys <------> BOOTVID.dll (ntice.sys)
lstrcmpiA: ntice.sys <------> ACPI.sys (ntice.sys)
lstrcmpiA: ntice.sys <------> WMILIB.SYS (ntice.sys)
lstrcmpiA: ntice.sys <------> pci.sys (ntice.sys)
lstrcmpiA: ntice.sys <------> isapnp.sys (ntice.sys)
lstrcmpiA: ntice.sys <------> compbatt.sys (ntice.sys)
lstrcmpiA: ntice.sys <------> BATTC.SYS (ntice.sys)
lstrcmpiA: ntice.sys <------> intelide.sys (ntice.sys)
lstrcmpiA: ntice.sys <------> PCIIDEX.SYS (ntice.sys)
lstrcmpiA: ntice.sys <------> MountMgr.sys (ntice.sys)
lstrcmpiA: ntice.sys <------> ftdisk.sys (ntice.sys)
lstrcmpiA: ntice.sys <------> dmload.sys (ntice.sys)
Описание поведения:查找反病毒常用工具窗口
Для получения более подробной информации:NtUserFindWindowEx: [Class,Window] = [OLLYDBG,]
NtUserFindWindowEx: [Class,Window] = [GBDYLLO,]
NtUserFindWindowEx: [Class,Window] = [pediy06,]
NtUserFindWindowEx: [Class,Window] = [FilemonClass,]
NtUserFindWindowEx: [Class,Window] = [,File Monitor - Sysinternals: www.sysinternals.com]
NtUserFindWindowEx: [Class,Window] = [PROCMON_WINDOW_CLASS,]
NtUserFindWindowEx: [Class,Window] = [,Process Monitor - Sysinternals: www.sysinternals.com]
NtUserFindWindowEx: [Class,Window] = [RegmonClass,]
NtUserFindWindowEx: [Class,Window] = [,Registry Monitor - Sysinternals: www.sysinternals.com]
Описание поведения:修改注册表_启动项
Для получения более подробной информации:\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Run\1
Поведение процесса
Описание поведения:创建本地线程
Для получения более подробной информации:N/A
Описание поведения:枚举进程
Для получения более подробной информации:N/A
Поведение файла
Описание поведения:创建文件
Для получения более подробной информации:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C1OS62RY\wpad[1].dat
Описание поведения:覆盖已有文件
Для получения более подробной информации:C:\Documents and Settings\Administrator\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
Описание поведения:设置特殊文件夹属性
Для получения более подробной информации:C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5
C:\Documents and Settings\Administrator\Local Settings\History
C:\Documents and Settings\Administrator\Local Settings\History\History.IE5
C:\Documents and Settings\Administrator\Cookies
Описание поведения:修改文件内容
Для получения более подробной информации:C:\Documents and Settings\Administrator\Local Settings\Application Data\GDIPFONTCACHEV1.DAT---> Offset = 0
Описание поведения:查找文件
Для получения более подробной информации:FileName = C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscoreei.dll
FileName = C:\WINDOWS\Microsoft.NET\Framework\\*
FileName = C:\WINDOWS
FileName = C:\WINDOWS\WinSxS
FileName = C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_e6967989\MSVCR80.dll
FileName = C:\WINDOWS\assembly\GAC_32\mscorlib\2.0.0.0__b77a5c561934e089\mscorlib.INI
FileName = C:\DOCUME~1
FileName = C:\DOCUME~1\ADMINI~1
FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1
FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1\%temp%
FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1\%temp%\1447640385.405430.exe
FileName = C:\Documents and Settings\ADMINI~1
FileName = C:\Documents and Settings\Administrator\LOCALS~1
FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1\%temp%\996E.INI
Сетевое поведение
Описание поведения:建立到一个指定的套接字连接
Для получения более подробной информации:127.0.0.1:1031
110.110.110.110:80
Описание поведения:按名称获取主机地址
Для получения более подробной информации:computer
wpad
110.110.110.110
Реестр
Описание поведения:修改注册表
Для получения более подробной информации:\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings
\REGISTRY\MACHINE\SOFTWARE\Microsoft\ESENT\Process\996E\DEBUG\Trace Level
Описание поведения:删除注册表键值
Для получения более подробной информации:\REGISTRY\MACHINE\SOFTWARE\Microsoft\ESENT\Process\996E\DEBUG\Trace Level
Описание поведения:删除注册表键值_IE连接设置
Для получения более подробной информации:\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
Описание поведения:修改注册表_启动项
Для получения более подробной информации:\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Run\1
Другое поведение
Описание поведения:探测 Virtual PC是否存在
Для получения более подробной информации:N/A
Описание поведения:创建互斥体
Для получения более подробной информации:CTF.LBES.MutexDefaultS-*
CTF.Compart.MutexDefaultS-*
CTF.Asm.MutexDefaultS-*
CTF.Layouts.MutexDefaultS-*
CTF.TMD.MutexDefaultS-*
CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-*
Local\ZonesCounterMutex
Local\ZoneAttributeCacheCounterMutex
Local\ZonesCacheCounterMutex
Local\ZonesLockedCacheCounterMutex
RasPbFile
Описание поведения:创建事件对象
Для получения более подробной информации:EventName = DINPUTWINMM
EventName = Global\CorDBIPCSetupSyncEvent_416
EventName = Global\userenv: User Profile setup event
EventName = Global\crypt32LogoffEvent
Описание поведения:查找指定窗口
Для получения более подробной информации:NtUserFindWindowEx: [Class,Window] = [18467-41,]
Описание поведения:尝试打开调试器或监控软件的驱动设备对象
Для получения более подробной информации:\??\SICE
\??\SIWVID
\??\NTICE
Описание поведения:获取TickCount值
Для получения более подробной информации:TickCount = 487831, SleepMilliseconds = 50.
TickCount = 488159, SleepMilliseconds = 50.
TickCount = 488206, SleepMilliseconds = 50.
TickCount = 488221, SleepMilliseconds = 50.
TickCount = 488253, SleepMilliseconds = 50.
TickCount = 488268, SleepMilliseconds = 50.
TickCount = 488331, SleepMilliseconds = 50.
TickCount = 488440, SleepMilliseconds = 50.
TickCount = 488659, SleepMilliseconds = 50.
TickCount = 488675, SleepMilliseconds = 50.
TickCount = 489393, SleepMilliseconds = 50.
TickCount = 489440, SleepMilliseconds = 50.
TickCount = 489456, SleepMilliseconds = 50.
TickCount = 489487, SleepMilliseconds = 50.
TickCount = 489503, SleepMilliseconds = 50.
Описание поведения:调用Sleep函数
Для получения более подробной информации:[1]: MilliSeconds = 60000.
[2]: MilliSeconds = 60000.
[3]: MilliSeconds = 60000.
[4]: MilliSeconds = 60000.
Описание поведения:程序异常崩溃信息
Для получения более подробной информации:EAX=0x00401000, EBX=0x0046D897, ECX=0x0006C000, EDX=0x0006C000,ESI=0x536CD652, EDI=0x00000000, EBP=0xF339C014, ESP=0x0012FF94,EIP=0x0046D8C2, ExceptionCode=0xC0000005(ACCESS_VIOLATION),ExceptionModule=C:\DOCUME~1\ADMINI~1\LOCALS~1\%temp%\1447640378.171933.exe Disassembly: 0x0046D8C2: cmp word ptr [eax], 5A4Dh 0x0046D8C7: jne 0046D8D7h 0x0046D8C9: movzx edx, word ptr [eax+3Ch] 0x0046D8CD: add edx, eax 0x0046D8CF: cmp dword ptr [edx], 00004550h 0x0046D8D5: je 0046D8DFh 0x0046D8D7: sub eax, 00001000h 0x0046D8DC: inc edi 0x0046D8DD: jmp 0046D8C2h 0x0046D8DF: pop dword ptr fs:[00000000h] 0x0046D8E6: add esp, 04h 0x0046D8E9: lea edx, dword ptr [ebp+0D0D19A9h] 0x0046D8EF: push edx
EAX=0x00401000, EBX=0x53777A8F, ECX=0x07E0364F, EDX=0x0006C000,ESI=0x00000000, EDI=0x004CD0D2, EBP=0xF339C014, ESP=0x0012FF8C,EIP=0x004CF4E3, ExceptionCode=0xC0000005(ACCESS_VIOLATION),ExceptionModule=C:\DOCUME~1\ADMINI~1\LOCALS~1\%temp%\1447640378.175933.exe Disassembly: 0x004CF4E3: cmp word ptr [eax], 5A4Dh 0x004CF4E8: jne 004CF500h 0x004CF4EE: movzx edx, word ptr [eax+3Ch] 0x004CF4F2: add edx, eax 0x004CF4F4: cmp dword ptr [edx], 00004550h 0x004CF4FA: je 004CF50Ah 0x004CF500: sub eax, 00001000h 0x004CF505: jmp 004CF4E3h 0x004CF50A: mov ecx, eax 0x004CF50C: mov dword ptr [ebp+0D0D04A1h], eax 0x004CF512: mov eax, dword ptr [eax+3Ch]
Описание поведения:查找指定内核模块
Для получения более подробной информации:lstrcmpiA: ntice.sys <------> ntkrnlpa.exe (ntice.sys)
lstrcmpiA: ntice.sys <------> hal.dll (ntice.sys)
lstrcmpiA: ntice.sys <------> KDCOM.DLL (ntice.sys)
lstrcmpiA: ntice.sys <------> BOOTVID.dll (ntice.sys)
lstrcmpiA: ntice.sys <------> ACPI.sys (ntice.sys)
lstrcmpiA: ntice.sys <------> WMILIB.SYS (ntice.sys)
lstrcmpiA: ntice.sys <------> pci.sys (ntice.sys)
lstrcmpiA: ntice.sys <------> isapnp.sys (ntice.sys)
lstrcmpiA: ntice.sys <------> compbatt.sys (ntice.sys)
lstrcmpiA: ntice.sys <------> BATTC.SYS (ntice.sys)
lstrcmpiA: ntice.sys <------> intelide.sys (ntice.sys)
lstrcmpiA: ntice.sys <------> PCIIDEX.SYS (ntice.sys)
lstrcmpiA: ntice.sys <------> MountMgr.sys (ntice.sys)
lstrcmpiA: ntice.sys <------> ftdisk.sys (ntice.sys)
lstrcmpiA: ntice.sys <------> dmload.sys (ntice.sys)
Описание поведения:查找反病毒常用工具窗口
Для получения более подробной информации:NtUserFindWindowEx: [Class,Window] = [OLLYDBG,]
NtUserFindWindowEx: [Class,Window] = [GBDYLLO,]
NtUserFindWindowEx: [Class,Window] = [pediy06,]
NtUserFindWindowEx: [Class,Window] = [FilemonClass,]
NtUserFindWindowEx: [Class,Window] = [,File Monitor - Sysinternals: www.sysinternals.com]
NtUserFindWindowEx: [Class,Window] = [PROCMON_WINDOW_CLASS,]
NtUserFindWindowEx: [Class,Window] = [,Process Monitor - Sysinternals: www.sysinternals.com]
NtUserFindWindowEx: [Class,Window] = [RegmonClass,]
NtUserFindWindowEx: [Class,Window] = [,Registry Monitor - Sysinternals: www.sysinternals.com]
Запустить снимок экрана
VirSCAN

Информация о VirSCAN | Privacy policy | Обратная связь | Дружественная ссылка | Содействие VirSCAN
Powered By CentOSpol

京ICP备11007605号-12

pol

京公网安备 11010802020746号